0

我有一个变量 ( $q=$_GET["q"];),我想用它来运行我准备好的语句。它包含我的数据库表的列名。

变量的值来自下拉列表。当我运行以下代码时,输​​出是在列表中选择的确切值。所以它只是一个列名。

$q=$_GET["q"];

$dsn = "mysql:host=$host;port=$port;dbname=$database";

$db = new PDO($dsn, $username, $password);

$sql = "SELECT DISTINCT ? FROM repertoire";
$stmt = $db->prepare($sql);
$stmt->execute(array($q));

    echo "<select>";
    while ( $row = $stmt->fetchObject() ) {
        echo "<option>";
        echo "{$row->{$q}}";
        echo "</option>";
        }
    echo "</select>";

但是,当我更改此行时$sql = "SELECT DISTINCT ? FROM repertoire";

$sql = "SELECT DISTINCT ".$q." FROM repertoire";我从数据库中获取所需的行...

我对 PHP 不是很好,所以我猜我的语法在某个地方是错误的。

预先感谢您的帮助。

4

1 回答 1

2

在 PDO 中,prepared statements 准备值,而不是表。

您需要直接处理用户输入和报价。

$q=$_GET["q"];

// Make sure you sanitize your user inputs using filter_inputs() or similar.

$dsn = "mysql:host=$host;port=$port;dbname=$database";

$colNames = new PDO($dsn, $username, $password); // Create object for getting column names.
$sql = "DESC repertoire Field"; // SQL for getting column names.
$stmt = $colNames->prepare($sql);
$stmt->execute();

$colList = $stmt->fetchAll(PDO::FETCH_COLUMN, 0); // Fetch the results into $colList array.

if (in_array($q, $colList)) { // If the value of $q is inside array $colList, then run.

    $db = new PDO($dsn, $username, $password);

    $sql = "SELECT DISTINCT $q FROM repertoire";
    $stmt = $db->prepare($sql);
    $stmt->execute(array($q));

        echo "<select>";
        while ( $row = $stmt->fetchObject() ) {
            echo "<option>";
            echo "{$row->{$q}}";
            echo "</option>";
            }
        echo "</select>";
}

另请阅读:PHP PDO 语句可以接受表名或列名作为参数吗?

编辑:我添加了一种方法来检查以确保 $q 是有效列,方法是基本上执行 SQL desc 以便从表曲目中获取所有列名。

于 2012-07-08T23:25:57.000 回答